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Elektronisches Steuer system 

Die Erfindung betrifft ein elektronisches Steuersystem mit 
mehreren miteinander vernetzten bzw. koiranunizierenden 
Steuereinheiten, wobei bei einer Ubermittlung eines 
sicherheitsrelevanten Sendesignales von einer ersten 
Steuereinheit an eine zweite Steuereinheit Sicherungsmaftnahmen 
zur Vermeidung von Fehlreaktionen der zweiten Steuereinheit 
vorgesehen sind. 

In modernen Kraf tf ahrzeugen sind aufwendige Steuersysteme 
vorhanden, die unter Umstanden viele Steuereinheiten zur 
Betatigung von Untersystemen des Kraf t f ahr zeuges aufweisen. 

Bei einer Fahr zeugantriebsregelung kommen verteilte 
Regelungssysteme zum Einsatz. Eine erste Steuereinheit 
berechnet in einer uberlagerten Regelungsf unktion eine 
Sollgrofie. Diese Sollgrofte wird uber einen Datenbus an eine 
dritte Steuereinheit gesendet. Die dritte Steuereinheit regelt 
mit einer unterlagerten Regelungsf unktion abhangig von der 
Sollgrofie eine Einrichtung in der Weise, daft die Sollgrofte 
optimal eingestellt wird. Die dritte Steuereinheit sendet ein 
Quittierungssignal uber einen Datenbus an die erste 
Steuereinheit zuruck. 

Beispielsweise kann das Steuersystem eine elektronische 
Motorsteuerung sowie eine elektronische Getriebesteuerung 
umfassen, wobei die Getriebesteuerung bei einem Gangwechsel 
des Getriebes an die Motorsteuerung als Sendesignal einen 
Sollwert fur das Drehmoment des Motors und gegebenenf alls 
weitere Sollwerte fur weitere Parameter, z.B. die 
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Motordrehzahl, ubermittelt , um der Motorsteuerung eine an den 
Gangwechsel angepaftte Betriebsweise des Motors zu ermoglichen. 

Derartige Steuer systeme mussen gegen Erzeugung und Ubersendung 
von falschen Signalen gesichert werden, um die Gefahr 
schwerwiegender Fehlf unktionen zu vermeiden. 

In diesem Zusammenhang ist es aus der WO 98/53374 einerseits 
bekannt, Signale redundant zu erzeugen und bei Abweichungen 
zwischen den redundant ermittelten Ergebnissen ein 
Fehlersignal zu generieren, welches dazu fiihrt, daft die 
Signalverarbeitungseinheit abgeschaltet wird . 

Andererseits zeigt die WO 98/53374 auch die Moglichkeit, das 
Steuersystem bei Erkennung von Fehlern auf einen Notbetrieb 
umzuschalten, so daft das Fahrzeug noch betriebsbereit bleibt, 
wenn auch gegebenenf alls mit vermindertem Konfort. 

Aufgabe der Erfindung ist es nun, bei einem Steuersystem der 
eingangs angegebenen Art eine besonders hohe 
Betriebssicherheit zu gewahrleisten . 

Diese Aufgabe wird erf indungsgemaft dadurch gelost, daft bei 
einer Ubermittlung eines sicherheitsrelevanten Sendesignales 
von der ersten Steuereinheit an die zweite Steuereinheit 
vorgesehen ist, daft 

- die erste Steuereinheit das Sendesignal und ein dazu 
komplementares Sendesignal auf unterschiedlichen Wegen 
erzeugt und zusammen mit zwei Zusat zsignalen, die fur die 
Wege signifikant sind, zu einem Speicher leitet, 

- eine dritte Steuereinheit, die Sende- und Zusat zsignale aus 
dem Speicher ausliest und uberpriift und bei Erkennung eines 
Fehlers die erste Steuereinheit abschaltet bzw. bei korrekten 
Signalen verschiedenartige Priif- bzw. Sicherheitssignale 
erzeugt und an einen Speicher leitet, 

- die erste Steuereinheit die Priif- bzw. Sicherheitssignale aus 
dem let ztgenannten Speicher ausliest und uberpriift und bei 
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Erkennung eines Fehlers sich selbst abschaltet bzw. bei 
korrekten Pruf- bzw. Sicherheitssignalen das Sendesignal 
sowie zumindest eine vorgegebene Auswahl der Pruf- bzw. 
Sicherheitssignale der zweiten Einheit zuleitet. 

Die Erfindung beruht auf dem allgemeinen Gedanken, eine erste 
Steuereinheit vor Obermittlung eines sicherheitsrelevanten 
Signales an eine zweite Steuereinheit mit einer dritten 
Steuereinheit zur Uberprufung des jeweils zu sendenden 
Signales zusammenwir ken zu lassen, wobei die dritte 
Steuereinheit zunachst die Funktion der ersten Steuereinheit 
und nachfolgend die erste Steuereinheit die Funktion der 
dritten Steuereinheit iiberprufen muft, bevor das Sendesignal an 
die zweite Steuereinheit weitergeleitet werden kann. Bei 
dieser gegenseitigen Uberprufung arbeiten sowohl die erste als 
die dritte Steuereinheit unsymmetrisch redundant, wobei auch 
die Wege der redundanten Signalerzeugung iiberpruft werden. 

Durch die Zwischenspeicherung der zwischen der ersten und der 
zweiten Steuereinheit ausgetauschten Signale in einem Speicher 
tritt zwischen Absendung eines Signales von der einen 
Steuereinheit und Empfang des Signales an der anderen 
Steuereinheit eine Verzogerung ein, durch die unerwiinschte 
oder parasitare Ruckkopplungen zwischen diesen Steuereinheiten 
ausges chlos sen werden . 

Gemaft einer besonders bevorzugten Ausf iihrungsf orm der 
Erfindung ist des weiteren vorgesehen, daft die zweite 
Steuereinheit das ihr zugeleitete Sendesignal nur dann 
beachtet, wenn sie die des weiteren zugeleiteten Priif- bzw. 
Sicherheitssignale als fehlerfrei erkannt hat. 

Zusatzlich oder alternativ kann die Sicherheit des Systems 
noch dadurch erhoht werden, daft die zweite Sendeeinheit das 
erhaltene Sendesignal als Quittung an die erste Sendeeinheit 
zuruckleitet . 
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Auf diese Weise wird auch die Funktion der zweiten 
Steuereinheit von einer anderen Steuereinheit zwangslaufig 
uberpruft, so daft bei Fehlererkennung keine unerwunschten 
Steuerf unktionen ausgelost werden bzw. auf eine Not- bzw. 
Ersat zbetriebsart des Steuersystems iibergegangen werden kann. 

Im ubrigen kann vorgesehen sein, daft die erste Steuereinheit 
bei Ubermittlung der Signale an die zweite Steuereinheit die 
zunachst in einem Puf f erspeicher eingegebenen zu 
ubermittelnden Signale zuriickliest, so daft hier ein 
zusatzlicher Signalvergleich gegeben ist und bei 
Fehlererkennung wiederum eine Abschaltung der ersten 
Steuereinheit vorgenommen werden kann. 

Im ubrigen wird hinsichtlich bevorzugter Merkmale der 
Erfindung auf die Anspruche sowie die nachfolgende Erlauterung 
der Zeichnung verwiesen, anhand der eine besonders bevorzugte 
Ausf uhrungsf orm der Erfindung naher beschrieben wird. 

Dabei zeigt die einzige Figur ein schematisiertes 
Blockschaltbild des erf indungsgemaften elektronischen 
Steuersystems, welches vorzugsweise digital arbeitet. 

Das in der Zeichnung dargestellte elektronische Steuersystem 1 
besitzt einen Datenbus 2, liber den verschiedene 
Steuereinheiten miteinander vernetzt sind. 

Im dargestellten Beispiel soil eine erste elektronische 
Steuereinheit 3, bei der es sich beispielsweise urn eine 
automatische Getriebesteuerung in einem Kraf tf ahrzeug handeln 
kann, an eine zweite elektronische Steuereinheit 4, 
beispielsweise eine elektronische Motorsteuerung des 
Kraf tf ahrzeuges, sicherheitsrelevante Signale geben, welche 
beispielsweise den Sollwert eines bei einem Gangwechsel des 
Getriebes einzustellenden Motordrehmomentes reprasentieren . 
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In diesem Zusammenhang ist vorgesehen, daft die erste 
Steuereinheit 3 zunachst ein entsprechendes Sollwertsignal S 
sowie ein dazu, beispielsweise bitweise, komplementares 
Sollwertsignal S* erzeugt und einem Speicher 5 zufuhrt. Das 
Sollwertsignal S sowie das komplementare Sollwertsignal S* 
sollen mittels unterschiedlicher Module der Hardware oder 
Software der ersten Steuereinheit 3 erzeugt werden, d.h. auf 
unterschiedlichen Wegen, wobei des weiteren vorgesehen ist, 
daft jeweils ein den benutzten Weg anzeigendes Zusatzsignal Z 
bzw. Z* erzeugt wird. Diese Zusat zsignale werden ebenfalls dem 
Speicher 5 zugefiihrt. 

Eine mit der ersten .Steuereinheit 3 kombinierte dritte 
elektronische Steuereinheit 6 liest daraufhin die vorgenannten 
Signale S,S*,Z und Z* aus dem Speicher 5 aus, um verschiedene 
Pruf opera tionen durchzuf uhren . 

Einerseits kann die Komplementaritat der Signale S und S* 
uberpriift werden, beispielsweise dadurch, daft diese Signale 
miteinander bitweise addiert werden. Wenn dann die bitweise 
Addition immer auf NULL fuhrt, ist die vorgenannte bitweise 
Komplementaritat gegeben . 

Des weiteren kann der Wertebereich der Signale S und S* 
uberpriift werden, d.h. es wird abgefragt, ob die Signale in 
einem zulassigen und/oder plausiblen Bereich liegen, 

Daruber hinaus konnen die Zusat zsignale Z und Z* auf 
Plausibilitat uberpriift werden. Beispielsweise kann vorgesehen 
sein, daft die zur Erzeugung der Signale S und S* in der ersten 
Steuereinheit 3 benutzten Wege nach vorgegebenen 
Zeitintervallen verandert werden miissen. Damit kann die dritte 
Steuereinheit 6 die Zulassigkeit der jeweils benutzten Wege 
anhand der Signale Z und Z* uberpriifen. 
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Sollte die dritte Steuereinheit 6 einen Fehler bei den 
Signalen S,S*,Z und/oder Z* feststellen, wird die erste 
Steuereinheit 3 automatisch abgeschaltet . 

Ergibt die Uberprufung, daft die Signale S,S*,Z und Z* 
fehlerfrei sind, kann die dritte Steuereinheit 6 zu den 
digitalen Signalen S und S* jeweils ein Paritatssignal P bzw. 
P* errechnen, welches wiedergibt, wie oft die digitalen 
Signale S und S* eine digitale EINS enthalten. Diese 
Paritatssignale werden auf unterschiedlichen Platzen des 
Speichers 5 abgelegt. 

Zusatzlich kann die dritte Steuereinheit 6 sogenannte 
Toggelbits T und T* erzeugen, die zueinander in vorgebbarer 
Weise komplementar sein konnen. Diese Toggelbits werden in 
regelmaftigen Zeit interval len umgeschaltet, bei spiel sweise 
jeweils nach einer vorgegebenen Anzahl von Impulsen eines 
zentralen Taktgebers (nicht dargestellt) des Steuersystems 1. 
Diese Taktgeberimpulse konnen den Steuereinheiten uber 
gesonderte Signalleitungen (nicht dargestellt) zugeleitet 
werden. 

Auch die Toggelbits T und T* werden im Speicher 5 an 
unterschiedlichen Platzen auf genommen . 

Nunmehr liest die erste Steuereinheit 3 die Paritatssignale P 
und P* sowie die Toggelbits T und T* aus dem Speicher 5 aus 
und fuhrt verschiedene Sicherheitsuberpruf ungen, 
beispielsweise Additionstest und Plausibilitatspriif ungen, 
durch . 

Sollte ein Fehler festgestellt werden, schaltet sich die erste 
Steuereinheit 3 ab. 

Falls die erste Steuereinheit 3 die vorgenannten Signale als 
fehlerfrei erkennt, leitet sie das Sollwert signal S, das 
Paritatssignal P und das Toggelbit T an einen Puf f erspeicher 7 
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weiter, der als Datenbus-Sendeeinheit wirkt und die 
vorgenannten Signale auf den Datenbus 2 legt. 

Damit konnen die vorgenannten Signale S,P und T von der 
zweiten Steuereinheit 4 empfangen werden. 

Die zweite Steuereinheit 4 beachtet das Sollwertsignal S nur 
dann, wenn das iibermittelte Paritatssignal P die Paritat des 
Signales S richtig wiedergibt und auch das Toggelbit T 
vorhanden bzw. plausibel ist. 

Sollten diese Bedingungen nicht vollstandig erfullt wird, wird 
das Sollwert signale S von der zweiten Steuereinheit 4 nicht 
akzeptiert . 

Parallel zur Ubermittlung der Signale S, P und T an die zweite 
Steuereinheit 4 werden diese Signale vom Datenbus 2 auch einem 
weiteren Puf f erspeicher 8 zugeftihrt, welcher als Datenbus- 
Empf angseinheit arbeitet und die empf angenen Signale an die 
erste Steuereinheit 3 zuriickleitet . 

Auf diese Weise kann die erste Steuereinheit 3 die 
(ibereinstimmung der von ihr gesendeten Signale mit liber den 
Datenbus 2 unmittelbar zuruckgeleiteten Signalen uberprtifen. 

Sollte hier eine Differenz auftreten, schaltet sich die erste 
Steuereinheit 3 ab. 

Des weiteren kann die zweite Steuereinheit 4 nach Empfang der 
Signale S,P und T ein Quittierungssignal mit von den 
vorgenannten Signalen abhangiger Struktur an die erste 
Steuereinheit 3 zurucksenden. Als Quittierungssignal kann z.B. 
das empfangene Signal S gesendet werden. Sollte die erste 
Steuereinheit 3 das Quittierungssignal als fehlerhaft, d.h. 
als nicht zu den Signalen S,P und T passend, erkennen, ist 
dies gleichbedeutend damit, daft ein Kommunikationsf ehler 
vorliegt . 
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In diesem Falle kann das Steuersystem 1 gegebenenf alls auf 
einen Notbetrieb umgeschaltet werden. 

Nach einer gegebenenf alls erfolgten automatischen Abschaltung 
der Steuereinheit 3 bzw. einer Umschaltung auf den Notbetrieb 
kann das Steuersystem 1 im Rahmen von ServicemafJnahmen wieder 
auf Normalbetrieb zuruckgeset zt werden. 

Die Elemente 3 und 5 bis 8 konnen als Teile oder Bereiche 
eines gesonderten Prozessors 9 ausgebildet oder programmiert 
sein. Insbesondere konnen die Steuereinheiten 3 und 6 auch in 
einem einzigen Steuergerat als unterschiedliche Software- 
Module realisiert werden. 

Die zweite Steuereinheit 4 kann als Teil eines ahnlichen 
Prozessors 10 ausgebildet sein. 

Der Datenbus 2 kann als sogenannter CAN-Bus vorgesehen sein. 
Der Speicher 5 ist vorzugsweise ein RAM. 

Das oben beschriebene Steuersystem 1 arbeitet vorzugsweise 
digital . 

Zusammenf assend. ist f est zustellen, daft mit der Erfindung eine 
Logik zur Uberwachung von SollgroJien in verteilten 
Regelungssystemen geschaffen wird, wobei die SollgrofJen 
prinzipiell unabhangig von der Applikation uberpruft werden 
konnen. 
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Patentans p rilche 

1. Elektronisches Steuersystem (1) mit mehreren miteinander 
vernetzten bzw. kominunizierenden Steuereinheiten (3,4,6), 
wobei bei einer Ubermittlung eines sicherheitsrelevanten 
Sendesignales (S) von einer ersten Steuereinheit (3) an eine 
zweite Steuereinheit (4) vorgesehen ist, dafi 

- die erste Steuereinheit (3) das Sendesignal (S) und ein dazu 
komplementares Sendesignal (S*) auf unterschiedlichen Wegen 
erzeugt und zusammen mit zwei Zusat zsignalen (Z,Z*), die fur 
die Wege signifikant sind, an einen Speicher (5) leitet, 

- eine dritte Steuereinheit (6) die Sende- und Zusat zsignale 
aus dem Speicher (5) ausliest und iiberpruft und bei Erkennung 
eines Fehlers die erste Steuereinheit (3) abschaltet bzw. bei 
korrekten Signalen verschiedenartige Priif- bzw. 
Sicherheitssignale ( P, P* , T, T* ) erzeugt und an einen Speicher 
(5) leitet, 

- die erste Steuereinheit (3) die Priif- bzw. Sicherheitssignale 
aus dem let ztgenannten Speicher (5) ausliest und iiberpruft 
und bei Erkennung eines Fehlers abschaltet bzw. bei korrekten 
Priif- bzw. Sicherheitssignalen das Sendesignal (S) sowie 
zumindest eine vorgegebene Auswahl der Priif- bzw. 
Sicherheitssignale (P,T) der zweiten Steuereinheit (4) 
zuleitet . 

2. Steuersysstem nach Anspruch 1, 
dadurch gekennzeichnet, 

daB die zweite Steuereinheit (4) die gesendete Auswahl der 
Priif- bzw. Sicherheitssignale (S,T) priift und bei Erkennung 
eines Fehlers das Sendesignal (S) unbeachtet la/it. 
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3. Steuersystem nach Anspruch 1 Oder 2, 
dadurch gekennzeichnet, 

daft die zweite Steuereinheit (4) bei korrekten Priif- bzw. 
Sicherheitssignalen (P,T) das Sendesignal (S) verarbeitet bzw. 
bef olgt . 

4. Steuersystem nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, 

daft die zweite Steuereinheit (4) das empfangene Sendesignal 
(S) oder ein damit korreliertes Quittungssignal an die erste 
Steuereinheit (3) zuruckleitet, welche das zugeleitete Signal 
priif t und das Steuersystem (1) bei Erkennung eines Fehlers auf 
eine Not- bzw. Ersat zbetriebsart umschaltet bzw. bei korrektem 
Signal weiterarbeiten laftt. 

5. Steuersystem nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, 

daft die erste Steuereinheit (3) bei korrekten Priif- bzw. 
Sicherheitssignalen (P,P*,T,T*) das Sendesignal (S) sowie die 
Auswahl der Priif- bzw. Sicherheitssignale (P,T) zur 
Weiterleitung an die zweite Steuereinheit (4) einem 
Datenbussender (7) zufiihrt, welcher die vorgenannten Signale 
an die zweite Steuereinheit (4) und an die erste Steuereinheit 
(3) weiter- bzw. zuriicksendet , und daft die erste Steuereinheit 
(3) die gesendeten sowie die zuriickgesendeten Signale 
vergleicht und sich bei Signalabweichungen abschaltet. 

6. Steuersystem nach einem der Anspriiche 1 bis 5, 
dadurch gekennzeichnet, 

daft das Sendesignal (S) und das komplementare Sendesignal (S*) 
zueinander bitweise komplementar sind. 
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DaimlerChrysler AG FTP 
Stuttgart 03.02.2000 



Zusammenf as sung 



Die Erfindung betrifft ein elektronisches Steuersystem mit 
mehreren miteinander vernetzten bzw. kommunizierenden 
Steuereinheiten, wobei bei einer Ubermittlung eines 
sicherheitsrelevanten Sendesignales von einer ersten 
Steuereinheit an eine zweite Steuereinheit besondere, 
redundante Sicherungsmaftnahmen vorgesehen sind. 
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